朱淑贤

【摘 要】随着现代内部控制理论迅速发展和被广泛应用，内部控制的审计工作逐步成为实现企业优化经营管理、提高经营效益和保障良好控制环境等目标的重要手段。加大内部控制审计的力度和深度，促进内部控制系统逐步完善，已成为经营管理从业者和审计工作人员的一项紧迫任务。本文通过对内部控制及内部控制审计进行了解析，从法律制度、审计方和被审计单位方面剖析我国内部控制审计存在的问题及原因，对当前中国企业内部控制审计面临的问题提出针对性意见，期待内部控制审计在我国能进一步健全。

【关键词】内部控制；内部控制审计

21世纪以来，经济全球化为各国经济带来了新的融资市场，开拓了广阔的发展空间，这既是机遇，同样也是挑战。世界各地区许多企业因各种各样的问题申请破产，无可避免地走向倒闭的境地。很大一部分企业破产的原因是企业内部控制出了问题，其中最出名的当属美国的安然公司。除此之外，巴林银行、安达信会计师事务所、中国的中海油等国内外大量的会计舞弊丑闻的揭露，严重挫伤了投资者的信心。各个国家纷纷采取措施，试图通过内部控制审计的实施和完善来扭转虚假、舞弊行为横行的经济局面。2008年，我国颁布了《企业内部控制基本规范》，之后2010年，又颁布《企业内部控制审计指引》，2012年颁布《企业内部控制审计指引实施意见》，这些制度标志着我国内部控制审计建设初具规模，内部控制理论体系已经建立了起来。但相对国际上一些发达经济体，我国还存在许多漏洞，制度、程序也相对比较宽泛，不太能够适应越来越复杂的经济形势。

一、理论基础

自内部控制审计第一次被提起，它经过了漫长岁月和大量工作实践的洗礼，由最开始通过检查会计记录的审计手段慢慢发展到结合风险管理进行审计工作，再到如今审计方法的不断完善、整合。在阅读和归纳部分国外关于内部控制审计问题的研究文献，可以发现其主要探讨的问题可以概括为以下三个方面：第一，制定具体的内部控制审计准则，并对准则的合理性进行探讨，给出一定的调整建议；第二，总结或者推测内部控制审计准则正式实施之后产生的效应，以及导致的问题，并在此基础上提出原因分析和解决方案；第三，针对内部控制审计成本和效益之间的平衡进行探讨，提出精简审计程序的建议。

在国外众多发达经济体中，美国关于内部控制审计的研究在世界范围内起到的推进作用最大，而其研究的核心问题也是围绕着上述三方面的内容进行。1992年，美国COSO委员发布《内部控制—整体框架》，在框架中确定了内部控制的定义，即指企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。此外，2002年颁布的《萨班斯——奥克斯利法案》（SOX法案）、2004年发布的2号审计准则（AS2）、2007年发布的5号审计准则（AS5）则代表了美国内控审计研究的成果，它们对世界各国的内控审计工作都有深远的影响。

SOX法案为上市公司规定了一个内部控制的评价和报告体系，要求上市公司提高内部控制的信息公开程度，对财务报告内部控制的有效性进行审计。根据此法案的要求，还成立了美国会计行业的自律性组织——美国公众公司会计监管委员会（PCAOB）。

PCAOB随后颁布的AS2首次提出了内部控制审计的涵义，对审计人员如何进行内部控制报告审计作出了比较详细的规定。三年后，PCAOB又颁布AS5取代AS2，此准则的重点就在于探讨如何尽量使注册会计师不去执行不必要的审计行为，简化审计程序，将有限的审计资源集中到内部控制系统中风险较大的环节，尽可能发现比较大的内控缺陷，以此达到内控审计效益与成本比值的最大化。在一定程度上改变了内部控制审计的思路，将高风险领域作为审计资源的关注点，不仅对美国本土的内部控制审计意义非凡，也符合我国目前上市公司状况的需求，对我国企业内部控制审计计划和审计程序有着重要的指导作用。我国关于内部控制审计的研究最早可以追溯到1996年，财政部公布了《独立审计具体准则》，在准则中首次提到了内部控制审计的概念。国内在内部控制审计方面的研究相对于国外起步较晚，目前的研究成果也比较零散。在法律法规方面，还没有类似于SOX法案这样有很强法律效力的规范出台。

二、内部控制与内部控制审计

内部控制与内部控制审计的关系是相辅相成的。

第一，内部控制和内部控制審计都是对被审计单位的监督手段。但需要注意的是，两者的实施主体是不同的。一方面，内部控制审计是对被审单位的外部监督，实施主体是独立于公司的第三方。随着企业经营权与所有权的分离，为对管理层经营管理工作做出合理评价与考核，企业的利益相关者中的股东，会委托独立于公司的第三方（如会计师事务所）对公司的进行审计，并发表审计意见。其中的一部分工作除了是对内部的经营业务上的审计检查，另一部分工作则是审计企业的内控设计和运行的有效性。另一方面，内部控制是企业的内部监督，实施主体是企业本身。依赖于企业高层管理人员的自觉性和领导能力来实现，通过对各个业务流程的详细规定，确保不相容职位相分离，职位权力相互制衡，从而起到监督、制约和平衡的作用。

第二，内部控制审计是内部控制的特殊环节。内部控制体系建设一般有三个环节，分别是事前防范，事中控制和事后监督。所以内部控制审计是内部控制的监督环节，直接影响企业能否达到预期的控制目标。通过内部控制审计的监督作用，可以不断改进内控设计的缺陷，弥补内控运行的不足，使得内部控制更有效率地循环进行，保证经营经营效率和效果。内部控制与内部控制审计两者虽有不同，但存在着千丝万缕的关系。没有内部控制审计的内控，是缺乏有效的监管，无法发挥其控制企业管理的作用；而没有内部控制，就更谈不上对内部控制进行审计。

三、内部控制审计与内部审计的关系endprint

内部审计是相对于外部审计而言的，企业内部进行的一种自我独立评价活动，是一种自查的行为。而内部控制审计是聘请外部的第三方，独立于公司进行对其内部控制设计及运行的有效性进行评价，出具鉴证报告给予指导意见，是一种外查行为。两者主要区别如下：

（一）目标不同

内部审计的目标是由管理层及治理层所确定的，所以不同企业的内部审计目标差异大，但总体是对企业经营活动效率、风险管理、遵守法律法规情况及财务信息的有效性进行评价；内部控制审计的目标是可借鉴于企业内部审计的审查结果，对企业内部控制制度的设计及运行效果，来判断财务会计资料是否真实可靠，最后服务的对象是注册会计师财务报表审计的大目标。

（二）手段不同

内部审计主要依靠抽样、函证、查证和座谈等手段；内部控制审计主要依赖于企业内部提供的资料，对环境控制、风险评估、活动控制、信息沟通、监控等进行审计。

（三）独立性不同

内部审计是由内部审计部门领导的，不可避免会频繁接触管理层及其他多个部门，独立性相对较差，从而对客观事实的判断产生不利的影响；内部控制审计是由外部的第三方进行，所以独立性相对较好，为企业改善经营管理及内控设计运行提供客观、针对性的建议。

总体来说，内部控制审计与内部审计都是企业内部管理的重要手段，是对企业进行再控制的过程。内部审计与国家审计、社会审计并列为三大类型审计，可以被注册会计师在进行内部控制审计时有所利用，减少重复性的工作，提高工作效率，降低成本，但同时需要注册会计师要有筛选甄别意识。

四、内部控制审计与外部财务报表审计的整合分析

在国内，根据《企业内部控制审计指引》的规定，注册会计师有两种选择，一是单独进行内部控制审计，二是同时进行内部控制审计与外部财务报表审计，即整合审计。整合审计的目标主要包括两个方面：在外部财务报表审计中获取充分可靠的证据，这些证据将被作为外部财务报表审计控制风险评估的依据；在内部控制审计中获取充分可靠的证据，以此为依据来评价内部控制的有效性，并发表相关意见。

（一）整合的可行性分析

第一，两者的工作存在重合的。内部控制审计，其要求对被审计单位内部控制设计及运行的有效性进行测试；外部财务报表审计，其要求注册会计师在了解企业内控的基础上，做需要进行的控制测试。所以，两者适当进行整合，不仅有利于避免审计工作的重复，还有利于提高工作效率。

第二，内部控制审计与外部财务报表审计的工作是可以相互支持、相互利用的。后者在对财务报表的实质性程序时，前者审计的结果可对财务报表审计的实质性程序的性质、时间提供修改，保障注册会计师使用的分析程序的信息完整和准确性。

第三，两者的整合审计对于同一被审计单位而言是具有极大的优势。无论从审计时间、成本及协调角度，都有利于会计师事务所审计目标的实现。

（二）关键整合点的分析

（1）审计目标的整合

从前文两者的审计目的不同可以得出，外部财务报表审计目标侧重于企业是否公允反映被审计单位实际情况，即公允性；内部控制审计的目标侧重于在特定基准日对企业内部控制设计及运行情况有效性发表意见，即有效性。两者审计目标虽侧重点不同，但最终目标是为了财务报表使用者获取真实可靠的信息，所以两者可进行目标整合。

（2）审计方法的整合。外部财务报表的审计方法是采用“风险导向审计”方法，即通过使用审计风险模型，对被审单位进行实施实质性程序；内部控制的审计方法是“自上而下”方法，即注册会计师需要从关注内部控制整体风险，再将重点逐步下移至重大账户、列报及相关认定，同样需要对被审单位的控制环境进行了解。虽然两者审计方法不同，但对彼此实现审计目标需要使用的方法是有共通之处的。

（3）审计证据的收集整合

两者审计的证据不同，但可相互利用对方的审计证据。如通过收集的控制环境证据，发现财务报表中的重大错报可以为内部控制审计提供依据，从而发现内部控制存在的缺陷；同时内部控制审计在审计的过程中发现的问题也能为外部财务报表审计应注重哪些交易重点提供了参考。

五、完善我国内部控制审计的建议

（一）法律制度层面的建议

制定法律层次较高的内控审计准则：

我国关于内部控制审计的相关制度、指引不少，但是在实际操作过程中，由于当前制度的法律层次不高，相應的强制力和指导意义较低，就容易造成内部控制审计工作不能发挥应有作用。目前国际上美国、日本、欧盟等发达经济体都有法律效力较高的内控审计规范。为了完善内部控制审计，我国应当结合实际情况，尽快出台针对内部控制审计的准则。在准则制定时，可以以美国的SOX法案为鉴，就如下问题作出相关规定。首先，SOX法案中明确界定了内部控制审计的责任，即只是一种有效性证明，对内部控制本身不负责任；其次，限制了内部控制审计的工作，禁止非审计业务的执行；通过关于利益冲突、事务所强制轮换等问题的明确规定，强化了审计人员的独立性；限定外部审计师只对企业财务报告进行测试和评价，并出具评价报告，界定了内部控制审计的工作目标为财务报告，而非完整的内部控制过程。可见，内控审计准则的出台可以厘清审计工作中的各种界限，提高内控审计的效率和可信度。

（二）审计方层面的建议

1、设立专门的内部控制审计机构

设置专业化、专门的内部控制审计机构，确保审计人员的工作技能和审计程序的执行情况能够保持在一个比较稳定、高效的水平。当然，专门的内控审计机构由于需要单独维持，所以相应的审计成本较会计师事务所的审计部门要昂贵，但是它的设立至少可以保证在企业可以承担的情况下，能够通过选择专门的内控审计机构，为企业提供最专业、最准确的内部控制审计服务。它是解决我国对高水准内控审计需求的有效途径。endprint

2、会计师事务所加强审计人才培养

内部控制审计工作专业要求较高的，不仅要求审计人员有优秀的专业胜任能力、敏锐的职业判断力以及一定的审计工作经验。这就需要会计师事务所定期对员工进行专业知识的培训，加强新老员工之间的经验交流，保证会计师的专业技能能够达到内部控制审计工作的要求。另外，事务所还应当加强职业道德教育，强调独立、客观、诚信、公正、保密的原则，同时建立一定的奖惩机制，促进事务所内部良性竞争，留住所内培养的人才。

3、避免审计内容重复

部分企业对内部控制审计的质疑主要集中在审计成本与审计效益之间的平衡，如何控制成本是推进内控审计发展的重要问题。作为审计方，会计师事务所在执行业务的时候应当遵循成本效益原则进行工作。首先，要在不影响审计工作独立性的情况下采取整合审计，避免财务报表审计和内部控制审计过程中的重复部分被二次运行，导致审计效率低下，提高审计成本。其次，注册会计师在内控审计时，如果通过职业判断能力可以确认企业内部审计成果的可信程度，那么就可以利用这些现有的信息进行内控审计，从而减少审计工作量，达到降低审计成本的目的。

（三）被审计单位层面的建议

1、强化被审计单位管理层内部控制意识

提高企业管理者的重视意识是首要条件。强化被审计单位管理层的内控意识，将企业运营效益与内部控制质量相联系，可以确保企业管理资源更多地向内部控制审计方面倾斜。如此一来，既能推动公司内部控制相关部门进一步规范化、標准化，也能促进企业内部与外部审计单位之间的沟通方式不断发展，确保内控审计工作过程中信息交流的正确、有效。

2、提高内部控制质量

之前提到，内控审计人员可以通过利用内部审计部门的现有成果来降低审计的成本。越多地使用内部审计结果，就意味着节约越多公司资源。所以，企业通过不断完善内部控制系统的质量，提高内部审计的可靠性和合规性，可以在注册会计师进行内控审计时，提供更多能够被取用为有效证据的内部审计资料，以此来提高审计的效率，降低成本。

（乐清市国土资源局，浙江 温州325600）

参考文献：

[1]金灵.内部控制审计问题研究[D].北京：财务部财政科学研究所，2011.

[2]程国栋.中国企业内部控制审计问题[N].环球市场信息导报，2015（3）.

[3]中华人民共和国财政部等.企业内部控制审计指引[M].北京：中华人民共和国财政部等，2010.endprint